PickleScan舊版存在3個零時差漏洞，危及 AI 模型供應鏈安全

2025 年 9 月，JFrog 資安研究團隊公布，開源模型檢測工具 PickleScan 在舊版實作中曝露三個 CVSS 9.3 的零時差漏洞，分別為 CVE-2025-10155、CVE-2025-10156 與 CVE-2025-10157。攻擊者可藉此迴避掃描結果，讓惡意 PyTorch 模型在載入時執行任意程式碼，構成重大供應鏈風險。(iThome)

PickleScan 何以成為關鍵安全門檻？

PickleScan 專門解析 Python pickle 序列化檔，檢測可疑匯入或函式呼叫，並標記潛在惡意片段。許多 AI 平台（如 Hugging Face）已將其納入上架前模型審核流程，因而其安全性直接關係到整個開源模型生態。(JFrog)

三大零時差漏洞概覽

• CVE-2025-10155 – 文件類型判斷漏洞 攻擊者只需將惡意 pickle 檔案改名為 .pt 或 .bin，PickleScan 會錯誤地採用輕量檢查流程，跳過內容解析，結果模型仍以實際格式載入並執行惡意程式碼。 (iThome)
• CVE-2025-10156 – ZIP 壓縮檔 CRC 欄位漏洞 若在 ZIP 包內寫入錯誤的 CRC，PickleScan 在解壓時會拋出例外，導致整體掃描失敗；但 PyTorch 在預設編譯設定下會忽略 CRC 校驗，仍可成功載入並執行模型內的 pickle。 (CBISH)
• CVE-2025-10157 – 危險模組黑名單漏洞 PickleScan 只比對完整模組名稱，攻擊者可使用被列為危險的模組子類別（如 asyncio 的內部類別）或內部子模組，逃避高危標記，最終仍可執行任意程式碼。 (CBISH)

漏洞利用流程

1. 攻擊者製作惡意 pickle，並以 .pt/.bin 或 ZIP 包形式傳遞。  
2. 目標系統使用 PickleScan 進行掃描，因漏洞被觸發，掃描結果顯示「安全」或失敗。  
3. 目標使用者或自動化流程載入模型，PyTorch 執行 pickle 內容，完成任意程式碼執行。  

此流程與「用戶執行」與「程式碼注入」的攻擊模式高度相似，若未加防禦將直接暴露於 RCE 風險。(The Hacker News)

已修補與緩解措施

PickleScan 維護團隊於 2025 年 9 月釋出 0.0.31 版，已修補上述三個漏洞。建議所有使用 PickleScan 的機構立即升級至最新版本，並同時採取以下多層防禦：

• 將模型格式轉換為 Safetensors，該格式不允許任意程式碼執行。
• 在模型上傳前，使用自動化沙箱環境（Docker、Kata Containers）載入並驗證模型，確保無惡意執行。
• 實施多重掃描流程：結合 PickleScan、TruffleHog 以及自訂腳本，交叉驗證掃描結果。
• 對於關鍵環境，啟用僅允許已簽署模型的白名單機制，並將所有模型載入操作限制於最小權限容器內。

安全建議

1. 即時升級：監控 PickleScan 版本更新，避免使用已知漏洞版本。 2. 分層審核：不單靠 PickleScan，結合多元安全工具檢測。 3. 審計與日誌：記錄所有模型載入事件，並定期審核日誌。 4. 教育訓練：提升工程師與數據科學家對 pickle 風險的認知，避免直接載入未知來源模型。

MITRE ATT&CK 對應

• T1204 – 用戶執行：惡意模型需被使用者載入，觸發程式碼執行。
• T1059.001 – PowerShell：若惡意程式碼利用 PowerShell 執行後門。
• T1059.008 – Python：pickle 內部使用 Python 反序列化，直接執行。
• T1059 – 命令與腳本解釋器：整體攻擊依賴於腳本執行。

參考資料與原文來源

• iThome – 「模型檢測工具 PickleScan 三個零時差漏洞，讓惡意 PyTorch …」 (https://www.ithome.com.tw/news/172737)
• CBISH – 「模型检测工具 PickleScan 存在三个零日漏洞，允许恶意 PyTorch 模型绕 …」 (http://www.cbish.com/keji/41843.html)
• JFrog – 「JFrog Reveals 3 Critical PickleScan Zero-Day Vulnerabilities」 (https://jfrog.com/blog/unveiling-3-zero-day-vulnerabilities-in-picklescan/)
• The Hacker News – 「Picklescan Bugs Allow Malicious PyTorch Models to Evade Scans …」 (https://thehackernews.com/2025/12/picklescan-bugs-allow-malicious-pytorch.html)

本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。